Đang tải... (xem toàn văn)
Bộ đồ án Tìm hiểu và ứng dụng công cụ Silk trong thu thập và phân tích lưu lượng mạng nhằm phát hiện tấn công là tài liệu hữu ích cho những người quan tâm đến lĩnh vực an ninh mạng và đang tìm kiếm giải pháp cho việc bảo vệ hệ thống của mình. Đồ án này được viết bằng Microsoft Word và hoàn toàn sử dụng bảng mã Unicode, vì vậy có thể đọc và chỉnh sửa trên nhiều thiết bị khác nhau. Bộ đồ án này chứa đầy đủ các phần cơ bản của một đồ án, bao gồm giới thiệu về công cụ Silk, các bước để thu thập và phân tích lưu lượng mạng, đánh giá hiệu quả của công cụ Silk trong việc phát hiện các tấn công mạng thường gặp và kết luận. Bên cạnh đó, đồ án cũng cung cấp một số hình ảnh minh họa, giúp người đọc dễ hiểu hơn về cách thức sử dụng công cụ Silk. Với tính chất ứng dụng cao và cách diễn đạt súc tích, bộ đồ án này sẽ giúp người đọc hiểu được sự quan trọng của việc thu thập và phân tích lưu lượng mạng trên hệ thống, đồng thời cũng cung cấp cho họ một giải pháp đơn giản và hiệu quả để phát hiện tấn công mạng. Nếu bạn đang muốn nghiên cứu về lĩnh vực an ninh mạng, đây sẽ là một tài liệu đáng để tham khảo.
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ ỨNG DỤNG CƠNG CỤ SILK TRONG THU THẬP VÀ PHÂN TÍCH LƯU LƯỢNG MẠNG NHẰM PHÁT HIỆN TẤN CÔNG Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Người hướng dẫn 1: ThS Cao Minh Tuấn Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2021 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ ỨNG DỤNG CÔNG CỤ SILK TRONG THU THẬP VÀ PHÂN TÍCH LƯU LƯỢNG MẠNG NHẰM PHÁT HIỆN TẤN CƠNG Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Người hướng dẫn 1: ThS Cao Minh Tuấn Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2021 MỤC LỤC DANH MỤC HÌNH VẼ .i LỜI CẢM ƠN ii LỜI NÓI ĐẦU iii CHƯƠNG TỔNG QUAN CHUNG VỀ SILK 1.1 Giới thiệu SiLK 1.2 Loại liệu luồng SiLK thu thập .2 1.3 Kho lưu trữ SiLK Flow 1.3.1 Dữ liệu luồng mạng 1.3.2 Cấu trúc ghi luồng 1.3.3 Các loại lưu lượng mạng 1.3.4 Hệ thống thu thập quản lý liệu .6 1.4 Bộ công cụ SiLK 1.5 Tổng kết chương CHƯƠNG KỸ THUẬT THU THẬP, ĐĨNG GĨI VÀ PHÂN TÍCH LƯU LƯỢNG MẠNG 2.1 Kỹ thuật thu thập đóng gói 2.1.1 Bộ cơng cụ đóng gói SiLK .9 2.1.2 Mơ hình máy đơn 11 2.2 Kỹ thuật phân tích .14 2.2.1 Bộ công cụ phân tích SiLK 14 2.2.2 Nhận danh sách cảm biến với rwsiteinfo 15 2.2.3 Chọn ghi luồng với rwfilter .17 2.2.4 Xem ghi luồng với rwcut 19 2.2.5 Xem thông tin tệp với rwfileinfo .21 2.2.6 Profile Flow với rwuniq rwstats .22 2.2.7 Đặc điểm lưu lượng truy cập theo khoảng thời gian với số lượng rwcount .26 2.2.8 Sắp xếp hồ sơ lưu lượng với rwsort .27 2.2.9 Sử dụng IPset để thu thập địa IP .29 2.3 Cách tiếp cận việc phân tích ghi luồng mạng 32 2.3.1 Phân tích đường dẫn .33 2.3.2 Phân tích đa đường dẫn 33 2.3.3 Phân tích khám phá .33 2.4 Quy trình làm việc cho Phân tích SiLK 34 2.4.1 Cơng thức hóa 34 2.4.2 Model .35 2.4.3 Kiểm tra 36 2.4.4 Phân tích 36 2.4.5 Tinh chỉnh 36 2.5 Kết luận chương 37 CHƯƠNG CÀI ĐẶT VÀ CẤU HÌNH SILK 38 3.1 Các điều kiện cần có để xây dựng SiLK 38 3.2 Xây dựng SiLK, YAF, libfixbuf từ Source Code .38 3.2.1 Giải nén cài đặt libfixbuf 39 3.2.2 Giải nén cài đặt SiLK 40 3.2.3 Giải nén cài đặt YAF 43 3.3 Cấu hình SiLK, YAF libfixbuf .43 3.2.1 Cấu hình SiLK 43 3.2.2 Cấu hình rwflowpack .45 3.2.3 Tùy chỉnh tệp cấu hình rwflowpack.conf .46 3.2.4 Tùy chỉnh tệp cấu hình rwflowpack.conf .47 3.4 Kết luận chương 48 CHƯƠNG 4.TRIỂN KHAI SILK ĐỂ THỰC HIỆN THU THẬP VÀ PHÂN TÍCH 49 4.1 Thiết lập mơ hình mạng để thực thu thập phân tích 49 4.2 Triển khai thu thập phân tích luồng mạng 52 4.3 Kết luận chương 56 KẾT LUẬN 57 TÀI LIỆU THAM KHẢO 58 DANH MỤC HÌNH VẼ Hình 1.1: Hai ghi luồng đơn hướng cho trình tự giao tiếp Hình 2: Loại lưu lượng mặc định cho cảm biến Hình 3: Hệ thống thu thập Hình 1: Hoạt động máy đơn thu thập với Sendor: NetFlow lưu trữ với rwflowpack 12 Hình 2: Hoạt động máy đơn với Sensor: YAF lưu trữ với rwflowpack 12 Hình 3: Mơ hình phân tích .15 Hình 4: Sử dụng rwsiteinfo để liệt kê cảm biến, hiển thị loại lưu lượng truy cập hiển thị thông tin kho lưu trữ 17 Hình 5: Sử dụng rwfilter để truy xuất ghi luồng mạng từ kho lưu trữ SiLK .19 Hình 6: rwcut để hiển thị nội dung mười ghi luồng 21 Hình 7: rwcut - trường để xếp lại đầu 21 Hình 8: Tìm luồng Low, Medium High-Byte với rwuniq .23 Hình 9: rwfileinfo hiển thị đặc điểm tệp ghi luồng 25 Hình 10: Đặc trưng số lượng byte luồng với rwuniq 25 Hình 11: Tìm top giao thức với rwstats .26 Hình 12: Đếm số byte, gói dịng theo thời gian 29 Hình 13: Sắp xếp theo Địa IP đích, Giao thức Số byte 29 Hình 14: Sử dụng rwset để thu thập địa IP 32 Hình 15: Sử dụng rwsetbuild để thu thập địa IP 32 Hình 16: Sử dụng rwsetcat để đếm địa IP thu thập .32 Hình 17: Sử dụng rwsetcat để in mạng số lượng máy chủ 32 Hình 18: Sử dụng rwsetcat để in tóm tắt thống kê địa IP 33 Hình 19: Quy trình phân tích SiLK 35 Hình 1: Các gói yêu cầu xây dựng SiLK hệ thơng Linux 39 Hình 2: Thơng số sau chạy /configure SiLK 43 Hình 3: Một số Sensor cấu hình sẵn silk.conf 45 Hình 4: Cấu hình trường tệp rwflowpack.conf 48 Hình 5: Trạng thái sau start rwflowpack 48 Hình 6: Cấu hình trường tệp yaf.conf .49 Hình 7: Trạng thái sau start yaf 49 Hình 1: Mơ hình cài đặt 50 Hình 2: Cấu hình IP máy Windows Windows Server 2012 51 Hình 3: Ping từ Windows tới CentOS Windows Server 2012 .51 Hình 4: Quét cổng Windows Server Nmap máy Windows 52 Hình 5: Trên máy CentOS thực ping tới Windows Windows Server 2012 53 Hình 6: Xem log rwflowpack /var/log 54 Hình 7: rwcut tập hợp ghi đầu thị 30 hàng tất luồng thu thập từ S0 55 Hình 8: rwstats tập hợp ghi liên kết với IP:10.1.1.200 field IP nguồn, port nguồn, IP đích… 10 hàng 56 i Hình 9: rwcut in record IP nguồn 10.1.1.200 IP đích 10.1.1.100 với fields IP nguồn, IP đích… xuất file scanport.txt 56 Hình 10: Sử dụng trình soạn thảo để mở scanport.txt 57 LỜI CẢM ƠN Trong trình thực đồ án tốt nghiệp này, thời gian có hạn q trình trao đổi cán hướng dẫn cịn hạn chế tơi nhận giúp đỡ tận tình gửi lời cảm ơn tới cán hướng dẫn Th.s Cao Minh Tuấn – Giảng viên Khoa An tồn thơng tin Học viện Kỹ thuật Mật mã, quan tâm cán Hệ quản lý sinh viên, thầy cô bạn bè Xin cảm ơn tất người tạo điều kiện tốt để tơi hồn thành đồ án tốt nghiệp này! SINH VIÊN THỰC HIỆN ĐỒ ÁN ii LỜI NÓI ĐẦU Các mối đe dọa mạng gia tăng, điều quan trọng phải hiểu xảy mạng máy tính Nhưng số lượng lớn lưu lượng truy cập mạng khiến cơng việc trở nên khó khăn Làm tìm thấy chứng hoạt động liệu mạng có bất thường hay khơng? Một tổ chức tạo nhiều ghi luồng mạng ngày, nguồn liệu tốc độ cao Việc tìm kiếm điểm bất thường liên quan đến bảo mật khối lượng liệu thách thức Hầu hết công cụ luồng mạng lớn lấy mẫu liệu để làm cho vấn đề quản lý được, việc lấy mẫu chấp nhận làm giảm độ trung thực kết luận phân tích Một cách sử dụng SiLK (System for Internet Level Knowledge), cơng cụ có khả mở rộng cao để thu thập phân tích liệu luồng mạng cách hiệu Cho phép người phân tích truy vấn nhanh chóng hiệu khối lượng lớn lưu lượng mạng để xác định tượng tổng hợp phức tạp trích xuất kiện riêng lẻ Các cơng cụ phân tích truy xuất liệu SiLK cho phép phát xu hướng điểm bất thường hoạt động có chủ ý Đồ án thực nhằm mục đích tìm hiểu ứng dụng cơng cụ SiLK (System for Internet Level Knowledge) thu thập phân tích lưu lượng mạng nhằm phát cơng Nhiệm vụ đặt là: Nghiên cứu tổng quan kiến trúc vấn đề thu thập phân tích thơng tin SiLK Nghiên cứu kỹ thuật thu thập, phân tích đề xuất giải pháp cải thiện hiệu suất cho SiLK Tiến hành ứng dụng công cụ SiLK thu thập phân tích lưu lượng mạng nhằm phát cơng Sau thời gian khoảng thời gian thực đồ án, yêu cầu đạt Tuy nhiên thời gian thực đồ án gặp nhiều khó khăn nên iii chắn khơng tránh khỏi thiếu sót Rất mong góp ý thầy cơ, bạn học viên để đồ án hoàn thiện SINH VIÊN THỰC HIỆN ĐỒ ÁN iv CHƯƠNG TỔNG QUAN CHUNG VỀ SILK 1.1 Giới thiệu SiLK Bộ công cụ System for internet-Level Knowledge (SiLK) hệ thống thu thập phân tích liệu luồng có khả mở rộng cao phát triển CERT Network Situational Awareness Team (CERT NetSA) để tạo điều kiện thuận lợi cho việc phân tích bảo mật mạng lớn Ban đầu đặt tên “Công việc Suresh”, SiLK kết việc nhà phân tích cần phân tích cú pháp luồng cách kịp thời hiệu mà không cần đến tập lệnh phức tạp chuyên sâu CPU SiLK tập hợp C, Python Perl, vậy, hoạt động hầu hết môi trường dựa UNIX Tầm quan trọng tài liệu tối quan trọng Bộ công cụ SiLK hỗ trợ thu thập, lưu trữ phân tích liệu luồng mạng cách hiệu quả, cho phép người phân tích an ninh mạng truy vấn nhanh tập liệu lưu lượng lớn lịch sử Các cơng cụ SiLK cung cấp cho người phân tích mạng phương tiện để hiểu, truy vấn tóm tắt liệu lưu lượng truy cập gần lịch sử biểu thị dạng ghi luồng mạng (còn gọi "network flow" "dữ liệu luồng mạng" "luồng") Các cơng cụ cung cấp cho người phân tích mạng nhìn tương đối đầy đủ lưu lượng truy cập mạng, tùy thuộc vào vị trí cảm biến Các phân tích cách sử dụng cơng cụ SiLK cung cấp nhìn sâu sắc khía cạnh khác hành vi mạng Một số ứng dụng ví dụ cơng cụ bao gồm: Hỗ trợ pháp y mạng: xác định xâm nhập, khai thác lỗ hổng bảo mật, hành vi sâu máy tính, v.v Cung cấp kho dịch vụ cho mạng lớn động (theo thứ tự khối / Định tuyến liên vùng không lớp (CIDR)) Tạo hồ sơ việc sử dụng mạng (tiêu thụ băng thông) dựa giao thức mẫu giao tiếp phổ biến Cho phép phát quét không dựa chữ ký phát sâu, để phát phần mềm độc hại phát hành hạn chế để xác định tiền chất Những ví dụ ví dụ khác giải thích thêm Bằng cách cung cấp sở chung cho phân tích này, cơng cụ SiLK cung cấp khuôn khổ để phát triển nhận thức tình mạng Mạng tơi có gì? Điều tạo nên hành vi mạng điển hình? Điều xảy trước, sau kiện mạng? Mạng nội có định tuyến lưu lượng truy cập không mong muốn không? 1.2 Loại liệu luồng SiLK thu thập SiLK hỗ trợ thu thập loại liệu luồng sau: NetFlow v5 v9 Hai chuẩn NetFlow sử dụng phổ biến V5 V9 NetFlow V5 giải pháp NetFlow dễ tiếp cận hầu hết thiết bị định tuyến đại hỗ trợ xuất NetFlow V5 Bản ghi luồng NetFlow V5 cung cấp thông tin 5-tuple tiêu chuẩn tất số liệu thống kê cần thiết để xác định tập hợp luồng gói tóm tắt Những thống kê cho phép công cụ phân tích hợp lý hóa việc phân tích cú pháp thông tin Không giống NetFlow V9 IPFIX, NetFlow V5 không hỗ trợ giao thức IPV6, điều hạn chế khả sử dụng số môi trường định NetFlow V9 tất thứ V5, nhiều NetFlow V9 cung cấp mẫu cung cấp nhiều chi tiết việc ghi nhật ký Trong NetFlow V5 cung cấp 20 trường liệu (hai số vùng đệm), NetFlow V9 có 104 định nghĩa loại trường Các loại trường sửa đổi gửi qua đầu tạo mẫu để tạo thành ghi định cấu hình Do đó, sử dụng NetFlow V9 để tạo ghi giống với ghi V5 cách định cấu hình mẫu NetFlow V9 cung cấp hỗ trợ IPV6 Hầu hết quản trị viên có yêu cầu tối thiểu từ liệu NetFlow không yêu cầu thêm chi tiết trang trí khác mà NetFlow V9 cung cấp họ khơng có phương pháp tương tác với liệu làm với NetFlow V5 IPFIX Thông tin luồng giao thức Internet Bản ghi luồng eXport tạo trình tạo luồng tuân thủ IPFIX YAF. Để sử dụng chức này, phải cài